Suchen

AVG gewinnt Pwnie Award auf der Black Hat 2014

Sicherheitshersteller patcht nur eine von vier Sicherheitslücken

Seite: 2/2

Die Schwachstellen im Detail

Das Produkt „AVG Remote Administration“ setzt sich aus drei Komponenten zusammen: Dem AVG Admin Server, der AVG Admin Console (Fat Client) und dem AVG AntiVirus (Managed Endpoints), wobei alle dasselbe Verschlüsselungsprotokoll verwenden.

1. „Authentication-Bypass“ Schwachstelle

Die Authentifizierungsprüfung der AVG Admin Console erfolgt auf dem Client. Dabei sendet der AVG Admin Server eine Liste mit den Hashwerten gültiger Benutzernamen und Passwörter an die AVG Admin Console. Da die Admin Console vom Client kontrolliert wird, kann die Authentifizierung leicht umgangen werden. Verbunden mit dem Server können sich Angreifer als legitimer Administrator ausgeben und sämtliche Clients fernsteuern.

Die Schwachstelle wurde von AVG als geringes Risiko eingestuft („This is by design“).

2. „Remote Code Execution“

Diese Schwachstelle erlaubt es einem Angreifer, der Zugang zum Administrator-Interface der Software hat, beliebige Dynamic Link Libraries (DLLs) mit Schadcode über ein Netzwerk zu laden und dadurch System-Rechte auf dem Server zu erlangen.

Die Schwachstelle wurde von AVG als hohes Risiko eingestuft und wurde behoben. (Patched).

3. Fehlende „Entity Authentication“

SEC Consult stellte fest, dass die Authentifizierung bei der Serveranmeldung auf dem Client des Nutzers stattfindet, der sich anmelden möchte. Das bedeutet, Angreifer können die Client-Software so manipulieren, dass eine Anmeldung ohne ein Passwort zu kennen möglich ist.

Die Schwachstelle wurde von AVG als mittleres Risiko eingestuft („This attack is difficult to set up“).

4. Einsatz von statischen Verschlüsselungsprotokollen und unsichere Betriebsweise

Die Kommunikation zwischen Client und Server ist ungenügend abgesichert. Das zum Einsatz kommende Verschlüsselungsprotokoll verwendet zudem statische Schlüssel, die aus dem Client ausgelesen werden können. Die Experten von SEC Consult konnten dabei auch feststellen, dass sich die Client-Server-Kommunikation mit einem Python-Code überlisten lässt. Daraufhin kann ein Angreifer sämtliche Kommunikation zwischen den AVG-Programmen entschlüsseln.

Die Schwachstelle wurde von AVG als geringes Risiko eingestuft („The cipher is used here just for the obfuscation of the traffic, it was not meant to protect any private data“).

Sicherheitssoftware = sicher?

SEC Consult beschäftigt sich mittlerweile seit 2002 mit der Prüfung von Standardsoftware hinsichtlich Sicherheitsschwachstellen und legte in den vergangenen zwei Jahren besonderen Fokus auf Sicherheitssoftware. Dabei zeigt sich eine deutliche Entwicklung: Es herrscht ein beträchtlicher Aufholholbedarf seitens der Hersteller in der Qualitätssicherung bei der Softwareentwicklung, was am Beispiel der AVG verdeutlicht wird.

Autor Markus Robin ist General Manager von SEC Consult.
Autor Markus Robin ist General Manager von SEC Consult.
(Bild SEC Consult)
Die Realität aus dem „SEC Consult Vulnerability Lab“ zeigt klar, dass bereits mehr als 50 Prozent der überprüften Standardsoftware „toxisch“ ist, d.h. kritische Sicherheitsschwachstellen beinhaltet. „Toxische Software“ sieht, hört und riecht man nicht. Sie ist auch nicht sofort bei Installation schädlich. Erst gezielte Hacker-Angriffe (Advanced Persistent Threats, APTs) decken Sicherheitsschwachstellen auf. Diese gefährlichen Schwachstellen sind auf Qualitätsmängel zurückzuführen, die bei der Produktentwicklung entstanden sind. Fehlerfreie Software gibt es nicht. Dennoch liegt die Verantwortung beim Hersteller, mögliche in der Software enthaltene, Schwachstellen im Rahmen von professioneller Sicherheitstests flächendeckend auf ein Minimum zu reduzieren. Genauso wichtig ist die Informationsweitergabe an den Kunden.

(ID:42896915)